Solución:
Solución 1:
Si absolutamente quieres usar yum security plugin
, hay una forma de hacer esto, aunque un poco elaborada. Pero una vez que lo tienes configurado, todo está automatizado.
El único requisito es que deberá tener al menos una suscripción a RHN. Lo cual es una buena inversión en mi opinión, pero vamos al grano.
- Una vez que tenga la suscripción, puede usar mrepo, o reposync, para configurar un repositorio de Yum interno, que refleja los repositorios de CentOS. (o simplemente puede usar rsync).
- Luego use el script adjunto a esta publicación de la lista de correo, para conectarse periódicamente a su suscripción de RHN, para descargar la información de los paquetes de seguridad. Ahora, tú tienes dos opciones.
- Extraiga solo los nombres de los paquetes del archivo “updateinfo.xml” generado. Y use esa información para “buscar” en sus servidores Rpms que necesiten seguridad u otras actualizaciones, usando puppet o cfengine, o ssh-in-a-for-loop. Esto es más simple, te da todo quieres, pero no puedes usar
yum security
. - La otra opción es utilizar el
modifyrepo
comando como se muestra aquí, para inyectarupdateinfo.xml
dentrorepomd.xml
. Antes Al hacer esto, tendrá que modificar el script de perl para cambiar las sumas de Rpm MD5 dentro del xml, de las sumas de RHN a Centos. Y tendrá que asegurarse de que los repositorios de CentOS realmente tengan todos los Rpms mencionados enupdateinfo.xml
, ya que a veces están detrás de RHN. Pero está bien, puede ignorar las actualizaciones con las que CentOS no se ha puesto al día, ya que hay poco que pueda hacer al respecto, aparte de construirlas a partir de SRPM.
- Extraiga solo los nombres de los paquetes del archivo “updateinfo.xml” generado. Y use esa información para “buscar” en sus servidores Rpms que necesiten seguridad u otras actualizaciones, usando puppet o cfengine, o ssh-in-a-for-loop. Esto es más simple, te da todo quieres, pero no puedes usar
Con la opción 2, puede instalar yum security
plugin en todos los clientes y funcionará.
Editar: esto también funciona para máquinas Redhat RHEL 5 y 6. Y es más sencillo que usar una solución de gran peso como Spacewalk o Pulp.
Solucion 2:
Scientific Linux ahora puede enumerar las actualizaciones de seguridad desde la línea de comandos. Además, puedo actualizar un sistema para que solo aplique actualizaciones de seguridad, que es mejor que el predeterminado (“¡Solo actualice todo! Incluidas las correcciones de errores que no le interesan y que introducen regresiones”.
He probado esto tanto en Scientific Linux 6.1 como en 6.4. No estoy seguro de cuándo se anunció oficialmente, pero publicaré más cuando me entere.
Aquí hay unos ejemplos.
Enumere un resumen de las actualizaciones de seguridad:
[[email protected] ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
4 Security notice(s)
1 important Security notice(s)
3 moderate Security notice(s)
2 Bugfix notice(s)
updateinfo summary done
[email protected] ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec. kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done
Lista por CVE:
[[email protected] ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
* epel: mirrors.kernel.org
* sl6x: ftp.scientificlinux.org
* sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done
Y luego puedo aplicar el conjunto mínimo de cambios necesarios para
[[email protected] ~]# yum update-minimal --security
O simplemente parchear todo:
[[email protected] ~]# yum --quiet --security check-update
gnutls.x86_64 2.8.5-14.el6_5 sl-security
libtasn1.x86_64 2.3-6.el6_5 sl-security
[[email protected] ~]# yum --quiet --security update
=================================================================================================================
Package Arch Version Repository Size
=================================================================================================================
Updating:
gnutls x86_64 2.8.5-14.el6_5 sl-security 345 k
libtasn1 x86_64 2.3-6.el6_5 sl-security 237 k
Transaction Summary
=================================================================================================================
Upgrade 2 Package(s)
Is this ok [y/N]: Y
[[email protected] ~]#
Si intento este mismo comando en una caja de CentOS6, no obtengo ningún resultado. Sé con certeza que algunos de los ‘137 paquetes disponibles’ contienen correcciones de seguridad, porque recibí los avisos de erratas ayer a través de las listas de correo de CentOS.
[[email protected] ~]# yum --security check-update
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
* base: mirrors.usc.edu
* epel: mirrors.kernel.org
* extras: mirror.web-ster.com
* updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[[email protected] ~]#
Solución 3:
Yo tuve el mismo problema. Intenté crear un código de Python para reunir las actualizaciones de Yum y los avisos del sitio de erratas de steve-meier mencionado anteriormente (lo filtro según los paquetes instalados).
En caso de que sirva de ayuda, aquí está la fuente: https://github.com/wied03/centos-package-cron
Solución 4:
Scientific Linux (al menos 6.2 y 6.3; no me quedan sistemas 6.1) no solo admite yum-plugin-security
pero el archivo de configuración para yum-autoupdate
, /etc/sysconfig/yum-autoupdate
, le permite habilitar solo la instalación de actualizaciones de seguridad.
# USE_YUMSEC
# This switches from using yum update to using yum-plugin-security
# true - run 'yum --security' update rather than 'yum update'
# false - defaults to traditional behavior running 'yum update' (default)
# + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"